Vírushíradó – Káoszt hagy maga után a Hibik trójai

A Hibik.A trójai célja, hogy minél több bizalmas adatot gyűjtsön össze a fertőzött számítógépekről.

A Hibik.A trójai kezdetben csak két állományt hoz létre a Windows egyik rendszerkönyvtárába, nem sokkal később azonban már nagy mennyiségben kezd el .dll kiterjesztéssel rendelkező fájlokat generálni. Ezt követően módosítja a regisztrációs-adatbázist, amelyben különböző kulcsokat hoz létre, illetve értékeket módosít. A kártevő legfőbb célja, hogy bizalmas adatokat gyűjtsön össze a fertőzött rendszerekről. Amennyiben sikeresen elvégzi a feladatát, akkor az eredeti állományait letörli, azonban a fájlrendszerben és a regisztrációs adatbázisban végzett műveleteket nem állítja helyre, így továbbra is képes marad a károkozásra.

Amikor a Hibik.A trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlokat:
   %System%\drivers\HBKernel32.sys
   %System%\System.exe
2. A Windows System32 könyvtárába valamint a trójai fájlját tartalmazó (aktuális) könyvtárba számos állományt másol be, amelyek fájlnevének mindegyike “HB”-vel kezdődik és DLL kiterjesztéssel rendelkezik.
3. A regisztrációs adatbázisban létrehozza a következő kulcsokat:
   HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_HBKERNEL32
   HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\HBKernel32
   HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\HBKernel32
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_HBKERNEL32
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HBKernel32
4. A regisztrációs adatbázishoz hozzáfűzi az alábbi értéket:
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
   “HBService32” = “SYSTEM.EXE”
5. Módosítja a regisztrációs adatbázis következő kulcsát:
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows”AppInit_DLLs” = “[…]”
6. Letörli az eredeti állományokat.